Autor Zpráva
mafos
Profil
Dobrý den,
mám takový problém. Snažím se rozběhnout webový server pod Debian Lenny. Ale bohužel nic nefunguje podle návodu. Jaké by to bylo hezké kdyby vše šlo podle návodu, že? :-D Ve vnitřní síti mi už server funguje, ale nejsem schopný ho dostat ven. Mám veřejnou IP, nastavenou DMZ i port forwarding. Ale zkrátka nic. Používám modem huawei echolife hg520i, ale neříkám, že je problém v něm! Měl jsem totiž do něj zapnutou IP kameru, která se dala bez problému sledovat i z venku. Nevíte v čem by mohl být problém? Nesetkal se s tím někdo?
Děkuji mnohokrát.
Davex
Profil
Na serveru doporučuji nastavit statickou IP adresu a vypnout DHCP, aby to po výpadku proudu nepřestalo fungovat.

Na routeru by mělo stačit v části Basic/NAT přidat Virtual Server:
Protocol: TCP
Start Port Number: 80
End Port Number: 80
Local IP Address: 10.0.0.200 (ip adresa serveru)
Start Port (Local): 80
End Port (Local): 80


Vznikne pak ale jistý problém, takže nejdřív doporučuji prostudovat celou diskusi Server není vidět z venku na Abclinuxu.
mafos
Profil
Přesně to mám v modemu nastavené a nefunguje to. Server má statickou IP a DHCP si nejsem jistý. Nejsem teď u stroje, tak to zkusím zkontrolovat až tam budu.

Mohl by být v problém v tom, že server je v síti která vypadá takto modem->wifi router->repeater a v repeateru je zapojený kabelem modem? Mám zkusit nastavit NAT i do routeru?

Tu diskusi na abclinuxu jsem založil já a problém tedy vznikl mě :-) Takže o něm vím a dávám si na něj pozor :-)

Díky za pomoc.
Davex
Profil
Pokud je mezi NATujícím modemem a serverem ještě router (další samostatná krabička) se zapnutým NATem nebo firewallem, tak bude nutné přesměrování portů nastavit i na routeru. Účel toho repeateru mi není úplně jasný, protože ten jsem viděl v dávné prehistorii jen na koaxu (pokud to ovšem není WiFi repeater - což by ale v tomto případě byl nejspíše jen WiFi klient).

To zapojení sítě mi není úplně jasné, takže by se hodil podrobnější popis zapojení všech zařízení s IP adresami.
mafos
Profil
OK. Zítra zkusím server přenést přímo za modem abych se nemusel vrtat v nastavení dalších dvou zařízení :-)

Jinak zapojení sítě trochu podrobněji:
modem v jedné budově -> kabelem na půdu -> na půdě wifi router a přes wifi posláno do vedlejšího domu -> ve vedlejším domě wifi repeater a v tomto repeateru zapojený server.

Zítra zkusím přenést server a ozvu se jak jsem dopadl.

Díky
mafos
Profil
Zdravím,
přenesl jsem server a zapojil ho přímo do modemu. V modemu mám nastavený NAT na SSH, protože jsem si nechtěl rozházet nastavení modemu kdybych udělal HTTP (to co se píše v diskusi na abclinuxu.cz). A stejně to nefunguje. Jestli to tedy dobře chápu. Přenesel jsem server. Z vnitřní sítě se na něj dá pomocí puttyny bez problému připojit. Zkusil jsem tedy do puttyny dát IP adresu připojení 88.103.174.80 a myslel jsem, že se připojím na server. Ale nejde to. Jde se vůbec takto připojit na server přes putty?
Děkuji.
Davex
Profil
Na modemu může být zapnutý firewall, který nepovoluje připojení z vnitřní sítě na venkovní IP adresu a přesměrování dovnitř na IP adresu serveru. Raději bych funkčnost přesměrování portů testoval odněkud zvenku (např. pomocí web-sniffer.net). Nejde se k modemu připojit telnetem? Kdyby tam byl Linux, tak by se dala vypsat konfigurace firewallu příkazem iptables -vnL. Možná má modem také nějaký log, kde by se dalo vyčíst blokování příchozích paketů.

Pokud má server nastavenu správnou IP adresu (např. 10.0.0.200 maska 255.255.255.0) a gateway (IP adresu modemu 10.0.0.138), tak by mělo přesměrování fungovat. Na serveru firewall doufám není.
mafos
Profil
Na serveru firewall samozřejmě mám. Posílám jeho nastavení.
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imaps
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:574
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp-data
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftps-data
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftps
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:mysql

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


Na modem se mi telnetem podařilo připojit. Ale nejsem z toho třikrát moudrý :-) Posílám co to napsalo.
HG520i> iptables -vnL
Valid commands are:
sys             exit            ether           wan
ip              bridge          dot1q           pktqos
show            set             lan

Asi to nezná ten iptables. Nevím. V tomhle se nevyznám :-(

Mohl byste mi tedy prosím zkusit se přes SSH připojit na server? IP adresa 88.103.174.80 .

Děkuji za pomoc.
Davex
Profil
Firewall na serveru připojení nebrání a na SSH se nepřipojím. Na port 7547 se připojím. V modemu se pro výpis konfigurace bude používat příkaz show něco, ale dokumentaci jsem nenašel - zkus doplňování tabelátorem.

Funguje ze serveru ping na internet?

Na modemu zkus ještě (dokumentace je v tomto ohledu mizerná):
v části Advanced - Firewall změnit nastavení SPI (pokud je zapnuto, tak vypnout)
v části Advanced - Filter přidat povolení pro TCP pakety směřující na server na port 80
mafos
Profil
OK. Takže show a tab vypíše tohle:
HG520i> show
wan             lan             cpe             community
lookupset       channel         all


Advanced - Firewall SPI je vypnuté
Advanced - Filter - podle návodu se mi zdá, že to zakazuje IP adresy. Ale možná mají chybu v návodu. Je takový nějaký všelijaký ten návod :-) návod: http://www.cz.o2.com/public_conver/66/e0/21/114799_145816_huawei_echolife_hg520i_kompletni_manual.pdf strana 26 a 27.

Jinak co to je port 7547?

Díky
Davex
Profil
Všechnu konfiguraci by měl vypsat show all, ale bude to asi k ničemu. Možná to začne fungovat po zapnutí SPI, těžko říct. Podle všeho se ten modem moc nepovedl.
mafos
Profil
Posílám show all
HG520i> show all

 RAS version: V100R001B020 TO2Proxy 2008/07/03
 System   ID: 5.0.50.0(RUE0.C2)3.7.9.68[Jul 03 2008 14:55:33]
 romRasSize: 1225784
 system up time:     7:06:24 (2709d3 ticks)
 bootbase version: VTC1.12 | 2006/8/16

Hostname        = HG520i
Message         = <empty>
ip route mode   = Yes
bridge mode     = Yes
DHCP setting:
  DHCP Mode      = Server
  Client IP Pool Starting Address = 10.0.0.1
  Size of Client IP Pool = 32
  Primary DNS Server     = 0.0.0.0
  Secondary DNS Server   = 0.0.0.0
  DHCP server leasetime  = 86400
TCP/IP Setup:
  IP Address     = 10.0.0.138
  IP Subnet Mask = 255.255.255.0
  Rip Direction  = None
    Version      = Rip-1
  Multicast      = None

RemoteNode     = 0
Rem Node Name  = ISP-0(ISP)
Encapsulation  = PPPoE
Multiplexing   = LLC-based
Channel active = Yes
VPI/VCI value  = 8/48
IP Routing mode= Yes
Bridge mode    = No
PPP Username   = O2

PPP Password   = **
PPP Username_ext2   =
PPP Password_ext2   =
Service name   =
Remote IP Addr        = 0.0.0.0
Remote IP Subnet Mask = 0.0.0.0
IP address assignment type = Dynamic
SUA            = Yes
Multicast      = None
Default Route node            = Yes

RemoteNode     = 1
Rem Node Name  = ISP-1
Encapsulation  = RFC 1483
Multiplexing   = LLC-based
Channel active = Yes
VPI/VCI value  = 8/35
IP Routing mode= No
Bridge mode    = Yes
Remote IP Addr        = 0.0.0.0
Remote IP Subnet Mask = 0.0.0.0
IP address assignment type = Dynamic
SUA            = No
Multicast      = None
Default Route node            = No

RemoteNode     = 2
 <empty>
RemoteNode     = 3
 <empty>
RemoteNode     = 4
 <empty>
RemoteNode     = 5
 <empty>
RemoteNode     = 6
 <empty>
RemoteNode     = 7
 <empty>


Takže mám zkusit zapnout SPI jo? Zkusím to a napíšu.

Jinak to advanced - filter jsem nechal prázdný jo? Nebo tam mám vyplnit?

Taky jsem na tenhle modem neslyšel nijak moc chváli. Ale i jsem slyšel, že na něm někdo server rozjel skoro bez problému.
mafos
Profil
tak jsem zapnul SPI, můžete mi prosím zkusit SSH (mě nefunguje)? IP 88.103.174.80 . HTTP nemám zapnutý, takže tam nic fungovat nebude. Nechci si zase rozházet modem.
Díky.
Davex
Profil
Ve výpisu konfigurace jsou jen údaje nesouvisející s firewallem a přesměrováním portů.

SSH stále nefunguje - ještě by to mohlo být blokováno nastavením v části Advanced - Security. O této oblasti ale dokumentace mlčí.

Mělo by stačit následující nastavení
1) Basic - NAT - Virtual Server - přesměrování TCP portu 80 na TCP port 80 a IP serveru
2) Vypnuté Advanced - Firewall - SPI
3) Vypnuté dodatečné zabezpečení pro Web v části Advanced - Security
4) Advanced - Filter - nemělo by být přítomno žádné omezující pravidlo pro port 80

Začněme raději od začátku, jak je nastaveno to přesměrování SSH? Funguje přístup na internet ze serveru?
mafos
Profil
Posílám jako obrázek jednotlivé obrazovky a kde je co nastavené.

1) přesměrování TCP portu 80 na TCP port 80 a IP serveru - zatím jsem nastavoval SSH, protože kdybych nastavil port 80 tak se mi složí modem. Hledal jsem na internetu řešení přesměrování portu modemu, ale zatím jsem nic nenašel. Jak najdu, hned zprovozním port 80.
www.halva.org/jpw/nat.jpg

2) Vypnuté Advanced - Firewall - SPI
www.halva.org/jpw/firewall.jpg

3) Vypnuté dodatečné zabezpečení pro Web v části Advanced - Security
www.halva.org/jpw/security.jpg

4) Advanced - Filter - nemělo by být přítomno žádné omezující pravidlo pro port 80
www.halva.org/jpw/filter.jpg

Abych pravdu řekl, tak jsem vlastně nikdy nezkoumal, jestli je přístup na internet ze serveru. Ve vnitřní síti server funguje. Když jsem instaloval doplňky tak nevím, jestli jsem instaloval z internetu, ale spíš asi ne. Všechno bylo z DVD. Jak můžu ověřit jestli chodí připojení?

Děkuji
mafos
Profil
Tak jsem ještě něco zkoušel, ale nevím jestli jsem to dělal správně a jestli to mělo nějaký význam, ale snad jo.
Zkusil jsem pingnout svůj notebook a modem ze serveru. A obojí dopadlo stejně. 100% ztracených dat. Ani jedno spojení. Vypadá to, že asi server nereaguje. Ale je to divný, protože jsem na něj připojený přes puttynu. Fakt si s tím nevím rady :-( Začnu si jásat, až všechno bude jednou fungovat podle návodů :-(

Ještě jsem zkoušel pingnout server z notebooku a taky nic. Vypršel časový limit žádosti :-(
Davex
Profil
Nastavení modemu by mělo být v pořádku - žádný problém tam nevidím.

Firewall na serveru propouští dovnitř pouze TCP pakety na definované porty, takže nebude fungovat ping ze serveru, ani na server. Ze serveru se také nebude možné připojit kamkoliv ven, protože nejsou povoleny přicházející odpovědi na odchozí pakety.

Správné nastavení firewallu ulož třeba do souboru /etc/iptables.startup
# Generated by iptables-save v1.4.2 on Mon Jan 11 18:10:08 2010
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT 
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp ! --sport 0:1023 -m multiport --dports 21,22,80,574,990,993,3306 -m conntrack --ctstate NEW -j ACCEPT 
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT 
COMMIT
# Completed on Mon Jan 11 18:10:08 2010

Konfigurace se aktivuje příkazem:
iptables-restore < /etc/iptables.startup

Nahrání konfigurace firewallu při každém startu se zajistí vytvořením skriptu /etc/network/if-pre-up.d/iptables
#!/bin/sh
/sbin/iptables-restore < /etc/iptables.startup

(Je mu také potřeba nastavit právo pro spuštění příkazem: chmod +x /etc/network/if-pre-up.d/iptables )

Dále je potřeba, mít správně nakonfigurovanou síť v souboru /etc/network/interfaces, kde by mělo pro být pro eth0 nastaveno:
auto eth0
iface eth0 inet static
        address 10.0.0.100
        netmask 255.255.255.0
        network 10.0.0.0
        broadcast 10.0.0.255
        gateway 10.0.0.138

Po provedení změn se síť přenastaví příkazem:
/etc/init.d/networking restart

Pokud jsou správně nastaveny nameservery v souboru /etc/resolv.conf, tak by mělo ze serveru fungovat pingnutí.
ping seznam.cz


Řekl bych, že po nastavení gateway začne fungovat i přístup na server z venku.
mafos
Profil
Už to funguje! Super! Díky za pomoc.

Ještě bych se rád zeptal, nevíte jak nastavit, aby se mi webové rozhraní modemu nespouštělo na portu 80? Rád bych zprovoznil i 80 pro server, ale nechci složit modem. Používám huawei.
Děkuji mnohokrát
mafos
Profil
Tak už mi funguje i port 80 :-) Děkuji mockrát za Vaši pomoc!
sweetree
Profil *
mafos nezmínil, proč mu najednou funguje port 80 na web serveru... Je to proto, protože v okamžiku, kdy se pokusíte nastavit na Huaweice Basic->Nat->Virtual Server Rule index <cislo> Application web server, tak se samotnemu routeru ADSL změní přístupový port na 8080 a je potřeba se na něj přehlásit. Pak původní 80 použije pro pravidlo na přesměrování do Virtual serveru a vše jede. Pokud použijete gratis DDNS, jste snadno dohledatelní i z veřejného internetu.
utme
Profil
sweetree, já mám stejný problém jako mafos když nastavím ten virtual server tak mi to napíše :
Since port 80 is used, the DSL router WEB server port will be moved to 8080. ale nic se nestane, jak se na něj mám přehlásit?
Davex
Profil
Správa modemu se přesunula z portu 80 na 8080, takže se musíš v prohlížeči připojit na http://10.0.0.138:8080/.
utme
Profil
Mě to sice napíše, že správa modemu byla přesunuta na 8080, ale když napíšu http://192.168.1.1:8080 tak to stránku modemu nenačte, ale když dám jen http://192.168.1.1 tak mi to zase najede modem. Mám modem tenda D840R. Možná něco blokuje firewall modemu, ale nepřišel jsem na to jak ji vypnout. http://screenshots.portforward.com/Tenda/D840R/index.htm
Davex
Profil
Nejdřív si přehoď administraci modemu na port 8080 a pak přidej přesměrování portu 80. To by jít mohlo.
utme
Profil
Já právě nevím , jak to mám přehodit na tu 8080. na této stránce jsou screenshoty routru.http://screenshots.portforward.com/Tenda/D840R/index.htm Nemohl byste se podívat a napsat na jaké stránce mám co nastavit?
Davex
Profil
Tady měl mafos modem Huawei u kterého to šlo. U toho tvého to jít nemusí, protože je úplně jiný.

Na obrázcích administrace jsem přepnutí portu pro administraci nenašel, takže když se to nezmění samo po zapnutí přeposílání portů, tak máš asi smůlu. Ještě můžeš zkusit vypnout a zapnout modem, zda se náhodou změna neprojeví až potom.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: